Poucos meses após uma assistente da T-Mobile revelar que guardavam a passwords dos utilizadores mas que não havia motivos para alarme porque tinham uma segurança excelente, eis que acontece aquilo que se estava à espera: com hackers a terem roubado os dados de milhões de clientes desta operadora.
Em Abril o mundo ficou em choque com a revelação de uma assistente que a T-Mobile guardava a password dos clientes em formato visível - e ainda por cima defendendo essa opção, dizendo que não havia motivos para preocupações devido à sua "segurança excelente". Pois bem, aqui fica demonstrada a sua "excelência" com o roubo de dados de milhões de clientes.
São mais uns milhões de registos que expõem os nomes, emails, moradas, número de cliente, passwords (codificadas aparentemente), códigos PIN e número de telefone desses clientes. Informação suficientemente para que se possam tornar em alvos perfeitos para roubo de identidade e ataques direccionados.
Combinando esta informação com outra que pode ser facilmente encontrada ou conseguida na internet, um atacante poderá com relativa facilidade obter uma segunda via de um cartão SIM de um determinado cliente, e rapidamente apoderar-se de todas as contas de serviços online que confiam no número de telefone para efeitos de recuperação de conta ou prova de identidade. Um erro para o qual os especialistas de segurança têm alertado há anos - para não se confiar no número de telefone ou SMS como forma de validação - mas que infelizmente continua a ser um método (erradamente) considerado seguro por muitos serviços, até pelas entidades bancárias.
Esperemos que casos como este, da T-Mobile, possam pelo menos ter o efeito positivo de demonstrar que não é o caso, e que está na altura de abandonar essa prática, apostando nas chaves de segurança físicas ou nos códigos de autorização temporários gerados por apps.
Sem comentários:
Enviar um comentário (problemas a comentar?)